顺丰安全运营工程师(威胁狩猎方向)
任职要求
1.熟悉PE等可执行文件格式,深入理解并能够分析加密、脱壳、反调试、反虚拟化、反沙箱、免杀的绕过机制,有相关GO、Rust语言逆向经验优先; 2.熟悉相关脚本语言,能分析脚本型恶意程序,包括但不限于VBS、JavaScript、Python; 3.具备一定的编程能力,包括不限于golang/c++/python等; 4.熟练掌握并使用X32/64dbg、Windbg、IDA或Ghidra等,具备丰富的动态调试和静态分析经验; 5.具备对Windows系统深入的理解,熟悉系统架构、内核、系统调用、内存机制和ETW等基础原理,具备相关开发经验; 6.了解主流计算机病毒、木马等恶意软件的技术原理、传播方式、行为特征及流行变种趋势,有Yara规则开发经验者优先; 7.了解vt微步等常见云沙箱的分析拓线,掌握splunk/elk的安全大数据分析能力。有丰富的病毒后门分析经验、威胁狩猎、黑灰产团伙追踪、高级威胁研究的实际工作经验优先; 8.良好的沟通能力和有效的团队协作精神,并具有高度的职业道德与保密意识。
工作职责
1.负责分析日常运营发现的可疑文件/恶意样本,协助应急响应,输出准确的分析报告,确保及时发现、清除潜在威胁; 2.完成威胁狩猎工作,包括对相关黑灰产团伙、勒索团伙、APT组织的活动的长期追踪; 3.完成攻击团伙TTPs归因分析,针对相应的安全产品提出针对性的防御检测措施,进一步提升组织的安全防御&检测能力; 4.针对现有产品无法覆盖的ttps,开发针对性的检测组件/规则,补齐产品检测的短板。
1. 安全监控与事件管理 负责7x24小时安全监控体系的运营与管理,覆盖云平台(AWS、Azure等)、SaaS应用等 精通并主导使用SIEM工具(如Splunk、Prisma Cloud)进行高级威胁狩猎、异常检测和告警优化,确保安全事件的全链路可视性。 具备SOAR平台(如Cortex XSOAR等)的实际操作经验,能够进行剧本开发、案例管理或平台运维 领导并协调针对复杂安全事件的应急响应,包括但不限于入侵分析、恶意软件处理、账户盗用等,并负责根因分析、遏制、 eradication 和恢复。 2. 安全工程与自动化 设计、开发和维护安全自动化脚本与工作流(利用AWS Lambda, CloudWatch, Python等),以实现安全流程的标准化与效率提升,覆盖检测、响应与修复环节。 负责评估、集成与优化安全工具与技术栈(如EDR、IDS/IPS、Capsule8规则、CloudProber、Grafana仪表板等),提升安全控制的效能。 3. 威胁情报与漏洞管理 主动跟踪、分析和评估新兴的网络威胁、攻击手法和漏洞(如0-day),并转化为可行动的情报与防护措施。 主导或深度参与漏洞管理全生命周期,包括扫描、评估、优先级划分及推动修复。 4. 合规、协作与知识传承 确保安全运维实践符合内外部合规要求与标准(如ISO 27001、SOC2、GxP、PCI-DSS等),并参与相关审计工作。 与云安全、DevOps及研发团队紧密协作,将安全控制(如安全基线、漏洞防护)无缝集成到CI/CD pipeline和云基础设施中,推动“安全左移”。 编写高质量的技术文档、事件事后分析报告,并向管理层汇报安全态势与风险。 担任团队内的技术导师,培养L1/L2工程师,分享专业知识与最佳实践。
1. 结合威胁情报设计和开发可执行攻击脚本,验证公司当前检测与响应能力,并形成可持续的安全能力评估与优化机制; 2. 根据公司现有安全防护体系架构,开展针对关键业务场景的攻击模拟与检测覆盖率验证; 3. 策划并实施紫队演练(如横向移动、数据外泄、持久化攻击链复现),检验规则、告警与响应能力的有效性; 4. 基于MITRE ATT&CK等框架分析检测覆盖缺口,协同蓝队优化检测规则和响应流程; 5. 参与应急响应与安全事件复盘,提供攻击链视角分析及安全策略优化建议。
1.负责网络安全领域(ddos防护,流量分析等)的业务运营工作,能结合安全威胁持续准确地挖掘业务痛点需求,完成落地跟踪和转化; 2.围绕核心业务痛点场景与反馈,梳理总结安全支撑效果改善,定期向业务负责人呈现安全量化价值; 3.与业务建立良好的服务/合作关系,建立和优化流程机制,能有效处理应对挑战性或突发事件。
1.负责参与研发安全生命周期落地、建设中的一项或多项,如安全培训、安全测试、负责需求安全分析、威胁建模、代码审计、安全组件开发等; 2.负责参与完善安全工具化、工程化能力建设; 3.负责参与完善研发安全流程、体系化建设,制定相关标准和要求; 4.负责公司应用安全事件应急响应。